startssl、let'sencrypt 等证书相关的 4 个问题求解
wkl17 · 2017-01-22 03:00:48 +08:00 via Android · 2588 次点击这是一个创建于 2844 天前的主题,其中的信息可能已经有所发展或是发生改变。
1 、为什么 startssl 和 let'sencrypt 的 dv 证书都得 3 个月重新验证一次?
2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次?
3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗?
4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐?
谢谢。
2 、其它 class 收费的证书是否也得每隔 3 个月重新验证一次?
3 、苹果 Safari 不信任 startssl dv 证书,那它的 class2 以上的还信任吗?
4 、个人站长,但多个域名,有何收费但比较值得注册的证书推荐?
谢谢。
 |
1
ericFork 2017-01-22 03:07:51 +08:00
1. startssl 有三个月验证一次?他们家都是一年起吧。
letsencrypt 每次颁发的有效期只有三个月,所以每 3 个月要 renew 一次 2. 一般都是一年起 3. 否 4. PositiveSSL 或者来路不一定正不正的 AlphaSSL |
 |
2
ZE3kr 2017-01-22 06:46:56 +08:00 via iPhone
1. 三个月一次相对会更安全一些,因为相当于每三个月要认证一次域名所有权。此外还能鼓励自动化证书部署,官方解释: https://letsencrypt.org/2015/11/09/why-90-days.html
4. 感觉收费的没有什么值得注册的,统配也没必要, Lets Encrypt 能一张证书 100 个域名。 EV 证书还有点意思,不过个人也搞不了。 |
|
3
ZE3kr 2017-01-22 06:48:16 +08:00 via iPhone
此外不推荐 StartSSL ,包括沃通的免费证书。沃通已经玩完了。 StartSSL 的免费证书 Revoke 要交钱,你说坑不坑。
|
 |
4
sumu 2017-01-22 07:48:26 +08:00 via iPhone
startssl ,之前是一年,最近改成 2 年还是 3 年了,但依然很麻烦,心里得记着这个事,正在弃用的路上, certbot 已在测试中
|
 |
5
william23 2017-01-22 09:37:45 +08:00
觉得一楼的回答很中肯,前 3 个的确如此。
再说下我自己的经历, 之前申请的是 startSSL,后来客服说不支持 ios10.2 的系统,他的所有证书都是,是说需要修复要过一个月才好,当时是 12 月底。 另外,现在用的是云服务上自带的证书,免费的 希望能帮到楼主 |
 |
6
wkl17 OP @ericFork
startssl 证书是 3 年没错,但我记得好像验证域名时,有提示 3 个月,似乎是 3 个月之后要再一次验证域名还是你的? 但 iphone safari 访问 startssl 官网 https 可以正常打开,但它颁发的 dv 证书,用 iphone safari 却无法访问,很奇怪了。 |
|
7
ericFork 2017-01-22 16:47:50 +08:00
@wkl17 那个验证啊,只有你下次购买证书时才需要再验证的,和证书本身的有效期无关
第二个是因为 2016-10-21 之后 StartSSL 颁发的证书会被认为是不信任,但之前颁发的暂不受影响: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/ |
|
8
wkl17 OP @ZE3kr 看了。可惜,他们大概没有考虑在 windows 下的 nginx 吧,那些自动化大概只是针对 Linux 。而且即使自动更新也会导致网站中断一下吧,更换证书必须停止 web 服务。
|
|
10
wkl17 OP @msg7086 有一个 nginx-upupw ,我感觉没有停止 web 服务,似乎证书无法覆盖啊,感觉它启动 web 服务后 会锁住证书文件。难道是我梦幻了?
|
 |
11
msg7086 2017-01-25 17:03:21 +08:00 via Android
除非你用的是 Windows 。
|
Select Language